Saltern of Knowledge

토씨 베타 테스트 신청자 리스트 공개 본문

삽질 다시보기

토씨 베타 테스트 신청자 리스트 공개

everyfishing 2007. 9. 18. 13:15

방문자가 워낙 없는 블로그인데 평소 리퍼러 기록에 안보이던 이상한 주소가 감지되었기에 조사를 해보았다.

사용자 삽입 이미지

리퍼러에 뜬 토씨 관련 주소


http://dev.cocas.co.kr/2007/report/tossi/.... 로 시작하는 주소인지라 SK텔레콤에서 베타 서비스를 시작한 토씨에 관련된 곳이라는 예상은 쉽게 할 수 있었다. 주소를 클릭하고 들어가니 두둥.....

토씨 베타 서비스를 신청했던 사람들의 정보가 화면에 나타났다. 페이지에 담겨있는 정보는 이름, 이메일, 휴대폰 연락처, 운영사이트 주소, 신청이유 였다. 위의 주소 뒷부분의 날짜 파라메터를 수정하면 8월 7일부터 8월 31일까지의 모든 베타 테스트 신청인들의 정보를 볼 수 있었다.
사용자 삽입 이미지

8월 18일에 신청한 사람들만 총 56명


URL인 cocas.co.kr 이라는 곳은 살펴보니 코마스인터랙티브에서 운영하는 도메인으로 각종 온라인 이벤트를 올려서 집행하는 이벤트 전용 도메인이었다. 따라서 아마도 토씨 베타 테스터 모집을 대행한 듯 했다.

토씨나 SKT를 비난하고자 하는 건 아니다. 하지만 베타 테스트를 신청한 개인정보들(물론 아주 민감한 정보라고 하기에는 조금 부족한 개인정보이지만 이런 서비스를 베타 신청하는 사용자라면 충분히 타겟 마케팅이 가능한 목록이라 하겠다.)을 외부 업체에 대행해서 맡기고, 그 이후의 관리 부분이 소홀했다는 점은 토씨 서비스를 담당하는 팀에서도 반성해야 하지 않을까 한다.

- 추가 -
2007년 9월 18일 오후 2시 20분 현재 신청자 리스트 확인 페이지가 막혔습니다. 아마도 해당 페이지의 파일 네이밍을 바꾸었을 듯.. SKT의 대처가 상당히 빠르군요.

4 Comments
  • 프로필사진 guest 2007.09.18 13:38 TOSSI 서비스에 대해 이런저런 말이 많던 차에 개인정보 유출이라는 사건까지 터졌으니 한동안 시끌벅적 하겠군요. 정말 고객이 KO 할 때 까지 SK 라더니...
  • 프로필사진 everyfishing 2007.09.18 14:16 신고 정확히 얘기하자면 개인정보 유출은 아닙니다. 해당 페이지가 오픈이 되어 있기는 하지만 주소를 알아야만 접근할 수 있는 페이지입니다.

    이 글에서 지적하고자 한 것은 일반적인 어드민 페이지라도 개인정보가 담겨 있다면 기본적인 보안에 더욱 신경을 써야했다는 거죠. ^^;
  • 프로필사진 mailside 2007.09.19 15:52 정확히 이야기 했을때 개인정보유출이 맞습니다.
    주소를 알아야만 접근할 수 있는 페이지만이 오픈된것이 아닙니다. 웹사이트에서 개인정보의 오픈이라 함은 유저던 로봇이던 URL을 통해서 아무나 개인정보를 볼 수 있게되었을때나 파일로 아무나 링크다운로드등이 유출에 속하지요..
    개인정보페이지가 RSS리더나 Log를 통해서 나온 URL을 못막은 SK또는 대행사책임 분명히 있습니다. 개발자실수겠죠..

    대처는 빨리해서 다행이지만..토씨..말들이 너무 많네요 ㅎㅎ
  • 프로필사진 everyfishing 2007.09.20 14:32 신고 '개인정보'에 대한 약간의 인식 차이가 있다는 것과 특정 주소라고 한정되었다고 해도 접근할 수 있다는 것을 감안하면 충분히 '개인정보유출'이라 할 수 있겠네요.

    SKT에서 금전적 보상까지 진행되는 걸 보니 대처가 굉장히 빠르다는 생각이 드네요. 이번 경험으로 더 많은 업체들이 개인정보에 대한 경각심을 가질 수 있으면 좋겠습니다.
댓글쓰기 폼